Identificazione, autenticazione e autorizzazione

di Fabrizio Sinopoli

Pubblicato 2 Marzo 2009
Aggiornato 12 Febbraio 2018 20:48

Sono tre i principi fondamentali su cui si basa parte della sicurezza informatica, in particolar modo per quando riguarda l’accesso ai dati: l’identificazione (identity), l’autenticazione (authentication) e l’autorizzazione (authorization).

Vedremo in questo articolo, cercando di semplificare al massimo i concetti, questi 3 punti cardine della security.

Identificazione: risponde alla domanda “Chi sei tu?”. L’utente che vuole accedere ad un sistema, sia esso un computer, un server, un bancomat, deve “rispondere” a questa domanda. Nella maggior parte dei casi questa risposta è il login, username, user-id o la chiave pubblica. Questa informazione può anche essere pubblica, non coperta cioè da nessun vincolo di segretezza.

Autenticazione: una volta stabilità l’identità di una persona, il sistema deve essere sicuro che l’utente sia quello che dice di essere. Per questo motivo, il sistema chiede “Come puoi dimostrare la tua identità?”. In questi casi, la risposta è la password legata allo username con cui ci si è identificati, oppure il codice PIN, ma anche la chiave privata, la propria impronta digitale e probabilmente prossimamente anche l’iride dell’occhio. Questa informazione deve essere assolutamente tenuta segreta e conservata con la massima accuratezza.

Autorizzazione: una volta che il sistema ha acconsentito all’accesso, ora si tratta di stabilire “cosa puoi fare?”, ossia a quali risorse, a quali dati puoi accedere? Il tutto viene garantito con un controllo agli accessi, in base alle autorizzazioni precedentemente date al profilo dell’utente. Il sistema è pertanto in grado di stabilire quali operazioni consentire e quali vietare all’utente.